Immer noch weisen die Joomla-Versionen 1.5 bis 3.4.6 eine kritische Lücke auf, über die Angreifer potentiellen Opfern Code unterschieben können. Das Sicherheitsupdate 3.4.6 der vergangenen Woche sollte das freie Content-Management-System (CMS ) zwar absichern, aber es stellte sich nun heraus, dass die Ursache der Schwachstelle in PHP liegt, erläuterte das Joomla-Team.

Joomla-Nutzer sollten die aktuelle Joomla-Version möglichst umgehend einspielen. Denn es gibt schon einen Expoit und Sicherheitsforscher von Sucuri berichten auch schon von ersten Übergriffen.

Die Version 3.4.7 ist nur ein Sicherheitsupdate und enthält keine neuen Funktionen. Außerdem wird noch eine SQL-Injection-Lücke geschlossen, deren Gefährlichkeit die Entwickler nicht als hoch einstufen. Auch den Nutzern der Joomla-Versionen 1.5 und 2.5 steht der Patch zum Stopfen der kritischen Lücke zur Verfügung.

Im Grunde ein PHP-Problem

Es sollen nur Joomla-Versionen verwundbar sein, die unter verwundbaren PHP-Versionen zum Einsatz kommen. Die PHP-Versionen 5.4.45, 5.5.29, 5.6.13 und 7 sollen nicht von dem Problem betroffen sein. Auch bestimmte Linux-LTS-5.3-Versionen sollen abgedichtet worden sein.

Die Kryptologen der Firma Sucuri berichten, dass die Angreifer bei der Art und Weise, wie PHP Sessions in der Datenbank anordnet, ansetzen können, um ihren eigenen Code in das CMS zu einzufügen.